HCIE-Security Day20:GRE协议:实验(一)配置基于静态路由的GRE隧道

最新推荐文章于 2024-05-13 21:49:46 发布
最新推荐文章于 2024-05-13 21:49:46 发布
阅读量2.5k 收藏 24
点赞数
分类专栏: HCIE-Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/123215869
版权

目录

一些概念

实验一:配置基于静态路由的GRE隧道

需求和拓扑

操作步骤

1、配置接口地址和安全区域

2、配置静态路由

3、设置安全策略默认全通

4、测试是否可通

5、配置gre

 6、配置安全区域

验证和分析

1、使用pc1 ping pc2

2、检查fw1的路由表

3、在fw1上使用ping -a 172.16.2.1 172.16.2.2 

4、在r1上进行抓包,检查报文情况

5、检查tunnel隧道

6、检查fw的session table

总结一下gre的转发流程

进阶:隧道保活机制

一些其他的问题

1、GRE与IPSec的区别?什么情况下适合使用GRE?

2、Tunnel接口(GRE接口)的作用是什么?什么是隧道源接口和目的接口?

3、Tunnel接口的IP地址作用是什么?隧道两端的IP地址是否必须配置成同一网段?

4、Tunnel接口(GRE接口)是否一定要加入安全区域?

5、多个Tunnel接口(GRE接口)是否可以使用同一个源IP地址?

一些概念

gre:通用路由封装,三层pn封装技术。解决跨异种网络的报文传输问题。

 封装分为两步,第一步是为原始报文添加gre头,第二步是在gre头前面再加新的ip头,加上新的ip头后,就可以在新的网络上传输了。

gre的封装是通过逻辑接口tunnel完成的,这个接口是一个通用的隧道接口,所以需要设置接口的封装协议。

实验一:配置基于静态路由的GRE隧道

需求和拓扑

FW_A和FW_B通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,通过在两台FW之间建立GRE隧道实现两个私有IP网络互联。

操作步骤

1、配置接口地址和安全区域

2、配置静态路由

3、设置安全策略默认全通

4、测试是否可通

5、配置gre

5.1 配置tunnel隧道接口

//f1
interface Tunnel1
 ip address 172.16.2.1 255.255.255.0
 tunnel-protocol gre
 source 1.1.1.1//源目隧道地址是公网地址
 destination 5.5.5.5
 gre key cipher 123456
//f2
interface Tunnel1
 ip address 172.16.2.2 255.255.255.0
 tunnel-protocol gre
 source 5.5.5.5//源目隧道地址是公网地址
 destination 1.1.1.1
 gre key cipher 123456

为了提高GRE的安全性,隧道双方支持对对端设备的身份验证。建立隧道的双方事先约定好一个密钥,在传输GRE报文的时候,该密钥信息会被封装到GRE头中,接收端在收到GRE报文时会用自己的密钥和报文中的密钥进行比对。密钥一致则验证通过;密钥不一致,则表示对方身份不合法,丢弃此报文。

5.2 将tunnel接口加入安全区域dmz

firewall zone dmz
 add interface Tunnel1

5.3 配置到达对端私网的路由走tunne隧道

//f1
ip route-static 10.1.2.0 24 Tunnel 1
//f2
ip route-static 10.1.1.0 24 Tunnel 1

5.4 配置f1和f2之间公网静态路由,保证公网接口可达(很重要,否则看不到路由表中的隧道路由,官方文档中没有提及这个)

//f1
ip route-static 5.5.5.5 255.255.255.255 1.1.1.2
//f2
ip route-static 1.1.1.1 255.255.255.255 5.5.5.2
//r1
本环境中r1始终没有配置静态路由,实际组网中,只需要保证fw1和fw2的公网接口地址可达即可,本环境中因为和fw1和fw2是直连,所以不需要配置。

 6、配置安全区域


//f1f2
security-policy
 rule name 1
//配置Trust域和DMZ的域间安全策略,允许封装前的报文通过域间安全策略。
  source-zone dmz
  source-zone trust
  destination-zone dmz
  destination-zone trust
  action permit
 rule name 2
//配置Local和Untrust的域间安全策略,允许封装后的GRE报文通过域间安全策略。
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  service gre
  action permit

从原始报文进入GRE隧道开始,到GRE报文被FW转出,这个过程报文跨越了两个域间关系(trust---dmz,local--untrust)。由此可以将GRE报文所经过的安全域看成两个部分,一个是原始报文进入GRE隧道前所经过的安全域,一个是报文经过GRE封装后经过的安全域。注意我们配置了Tunnel接口属于DMZ区域。

PC_A发出的原始报文进入Tunnel接口这个过程中,报文经过的安全域间是Trust—>DMZ;原始报文被GRE封装后,FW_A在转发这个报文时,报文经过的安全域间是Local—>Untrust。匹配安全策略1.

当FW_A发出的GRE报文到达FW_B时,FW_B会进行解封装。在此过程中,报文经过的安全域间是Untrust—>Local;GRE报文被解封装后,FW_B在转发原始报文时,报文经过的安全域间是DMZ—>Trust。匹配安全策略2.

这是单向通道,只能放行从PC

最低0.47元/天 解锁文章
信封同学
关注
  • 0
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
GRE隧道配置实验(OSPF)
A soul tortured by desire
08-05 5338
实验目的: 配置GRE隧道,并在隧道上运行OSPF动态路由实现互通 组网需求: 如图,R1、R2、R3属于VPN骨干网,它们之间运行OSPF。R2和R3之间使用三层隧道协议GRE,实现PC1和PC2互联。PC1和PC2上分别制定R2和R3为自己的缺省网关。Tunnel接口启动动态路由协议OSPF。VPN骨干网上使用OSPF进程1,用户接入部分使用OSPF进程2 配置操作: R1: <Huawei>sys Enter system view, return user view wi
HCIE-Security Day9:5个实验理解NAT Server
小梁的博客
02-11 2355
NAT Server与目的NAT的区别和联系 NAT Server是一种静态目的NAT技术,与基于策略的静态目的NAT一样,都可以用于解决私网IP与公网IP存在固定映射关系的场景,但是基于策略的目的NAT在一条策略中可以匹配多个地址段,且支持地址排除功能,配置更为灵活。NAT Server可以逐条配置地址转换关系,命令简单清晰。 两者还有如下区别 1、nat server 配置后创建静态server-map表项,destination-nat不创建 2、nat server 优先级...
通过GRE隧道实现OSPF、BGP、IS-IS的套接使用
最新发布
衡水铁头哥的博客
05-13 1052
正文共:999 字 9 图,预估阅读时间:1 分钟书接上文(专线入云场景能否配置动态路由协议?),我们发现通过一定的配置,具体就是组合使用IBGP和静态路由,在使用云专线接入到资源池后通过动态路由协议可以实现云上云下业务的互通。缺点也是很明显的,那就是转发的所有流量在专线交换机上都要有对应的路由配置,两端配置动态路由协议,中间设备还要逐条配置静态路由,这个动态路由确实用了个寂寞。其实要解决也很简单...
华为HCIE安全实验 | 接口初始化(二层部分)
COCO_gsta的博客
06-24 531
网络拓扑 示意图 实际拓扑 各设备关键配置 FW1 vlan 30 description Yeslab interface Vlanif20 alias Vlanif20 ip address 20.1.1.10 255.255.255.0 interface Vlanif30 alias Vlanif30 ip address 30.1.1.10 255.255.255.0 interface GigabitEthernet0/0/0 alias GE0/MGMT po
HCIE-Security Day7:6个实验理解目的NAT
小梁的博客
02-10 2025
目的NAT技术 对报文中的目的地址和端口进行转换。根据转换后的目的地址是否固定,分为静态目的nat和动态目的nat。 静态目的nat 实验一:公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射) 需求和拓扑 某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。网络...
配置GRE隧道,并在隧道上运行静态路由实现互通
kanxingxingdemao的博客
03-31 1291
配置基本网通,路由器间用OSPF,把2.2.2.0 3.3.3.0 网段宣告到area 0 ,但私网192 和10 不要宣告 tunnel配置 AR2上 interface Tunnel0/0/1 ip address 172.16.0.1 255.255.255.0 tunnel-protocol gre source 2.2.2.1 destination 3.3.3.2 AR3上 interface Tunnel0/0/1 destination 2.2.2.1 ip...
HCIE-Security 网络安全专家 V3.0 培训教材及实验手册
04-09
HCIE-Security V3.0 考试大纲.pdf HCIE-Security V3.0 实验手册.pdf HCIE-Security V3.0 培训教材.pdf
HCIE-Security V2.0培训PPT.rar
06-21
目录: 01 模块一 第一章 安全认证概述 ...20 模块五 第一章 安全运维操作概述 21 模块五 第二章 日志管理 22 模块五 第三章 安全审计技术 23 模块五 第四章 态势感知技术(CIS) 24 模块五 第五章 华为HiSec解决方案
HCIE-Security V1.5.rar
07-17
内涵HCIE-Security华为认证网络安全精英培训教材V1.5,HCIE-Security华为认证网络安全精英培训实验手册,资料难得,望珍惜!
HCIE-Security V2.0 培训教材.rar
04-18
HCIE-Security V2.0 培训教材》是华为认证的顶级专家级课程,专注于网络安全领域的深度学习和实践。此教材涵盖了网络安全的各个方面,旨在培养具备高级网络安全技术能力的专业人士。作为华为认证互联网专家...
HCIE-Security V2.0 实验手册.pdf
08-04
华为HCIE安全认证实验手册 V2.0
Tunnel 接口UP Down 分析
热门推荐
yiluyangguang1234的专栏
03-14 1万+
拓扑: 1 tunnel接口是虚拟接口,当其依赖的物理接口down时,它也会down(tunnel source 地址对应的地址所在的接口为其所依赖的接口) 2 当tunnel接口出现physical up,protocol down时,可能的原因是tunnel接口的destination address 不可达,缺少路由 3 当一端的tunnel接口down掉时,默认另一端不会识别出该...
思科GRE的Tunnel隧道接口down处理案例
Yinsan的小玩意
09-14 9294
篇幅无多余废话,多为代码演示,建议耐心阅读。 这里使用的是cicso的模拟器进行演示,代码理解请根据实际用户的模拟器的进行阅读。 前部分篇幅为基础的拓扑搭建,本篇文章所讲的处理案例请点击这里跳转。 首先完成拓扑上的路由链路的配置,使得链路上的两台PC机能够互相PING通对方(连接PC机的接口配置不再演示)。 这里声明为什么不用最简单的两台直连路由实验?因为两台直连路由只要完成链路互通就能直接搭建隧道,不会出现该案例讲的原因。 接口IP地址 静态路由 路由配置命令参考: R0(config-if)#i.
tunnel
qq_27827469的博客
07-21 2822
一,隧道是什么?隧道是指在公网中的路由器间建立一条数据通道(隧道),隧道协议将其他协议的数据帧和包进行重新包装新的报头,根据新报头提供的路由信息​​,让数据包通过这条隧道传输。二,隧道解决了什么问题?网络拥塞是影响骨干网络性能的主要问题,路由器根据传统路由协议计算出最短路径进行转发,当该路径发生阻塞时也无法将流量切换到其他路径上去。三,隧道基本概念MPLS / LDP / TE / LSP / F...
GRE实验
2301_77475090的博客
07-20 74
【代码】GRE实验
Cisco 配置 GRE隧道
vx XIxi_AL
09-16 8346
拓扑图 <!--思路:在R0和R1上做gre隧道--> R0配置 interface Tunnel 1 //配置GRE隧道模式 ip address 172.16.1.1 255.255.255.0 //配置GRE IP地址 tunnel source FastEthernet0/0 //配置GRE IP源地址 tunnel destination 192.168.1.2 //配置GRE IP目的地址 配置静态路由 i.
GRE-防火墙与路由实现
baidu_41701694的博客
09-07 1961
防火墙、路由器GRE
ensp usg6000v gre 基础配置(一)
sgslwms的博客
12-22 1545
1:配置ip地址(略) 2:防火墙接口加区域 [fw1]firewall zone trust [fw1-zone-trust]add int g1/0/1 [fw1-zone-trust]q [fw1]firewall zone untrust [fw1-zone-untrust]add int g1/0/0 [fw1-zone-untrust]q [fw2]firewall zone trust [fw2-zone-trust]add int g1/0/1 [fw2-z...
eNSP下的Tunnel端口的配置实验
qq_48111800的博客
04-20 4618
Tunnel的简单配置实验 这个tunnel配置使用到gre协议,所以: 首先了解一下GRE的概念: 在任意一种网络协议上传送任意一种其它网络协议的封装方法 GRE VPN使用虚拟的隧道(Tunnel)接口 使用tunnel端口配置 GRE 隧道 使私网主机 172.22.1.0/24、172.22.2.0/24 间可以相互访问(正常时私网路由在公网中不传播) 网络拓扑图如下 根据网络拓扑图首先配置PC和路由器各个接口的地址 配置总部路由器 AR1 和分部路由器 AR4通往 Internet (用AR
HCIE-Security_备考指南——NAT策略1
08-03
HCIE-Security备考指南——NAT策略1 本文是《HCIE-Security备考指南——NAT策略1》的总结,对于备考HCIE-Security的考生来说,掌握好NAT策略是非常重要的。下面将根据HCIE-Security备考指南的内容,详细介绍NAT策略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值